Siber güvenlik araştırmacıları, Ransomhub’ın çevrimiçi altyapısının 1 Nisan 2025 itibariyle “açıklanamayan” çevrimdışı olduğunu ve Hizmet Olarak Fidye Yazılımı (RAAS) operasyonunun iştirakleri arasındaki endişeleri artırdığını açıkladı.
Singapur Siber Güvenlik Şirketi Grup-IB, “DLS’deki açıklamalar göz önüne alındığında, bağlı kuruluşların Qilin’e göç etmesine neden olabileceğini söyledi. [data leak site] Şubat ayından bu yana iki katına çıktı. ”
İlk olarak Şubat 2024’te ortaya çıkan Ransomhub’ın 200’den fazla kurbandan çalındığı tahmin ediliyor. Dağınık Örümcek ve Evil Corp da dahil olmak üzere bağlı kuruluşlarını kazançlı ödeme bölünmeleri ile kurarak bir öncü olmak için iki yüksek profilli RAAS grubu olan Lockbit ve Blackcat’ın yerini aldı.
Grup-IB, Raporda “Web uygulamasının ve fidye yazılımı Knight Knight’ın (eski adıyla Cyclops) olası bir şekilde satın alınmasını takiben RansomHub, çok platform şifrelemesinin dinamik özellikleri ve önemli finansal teşvikler sunan agresif, bağlı kuruluş dostu bir model sayesinde hızla fidye yazılımı sahnesinde yükseldi.”
RansomHub’ın fidye yazılımı, Windows, Linux, FreeBSD ve ESXI’da, X86, X64 ve ARM mimarilerinde çalışmak üzere tasarlanmıştır ve Bağımsız Devletler, Küba, Kuzey Kore ve Çin’de bulunan saldırı şirketlerinden kaçınır. Ayrıca SMB ve SFTP aracılığıyla yerel ve uzak dosya sistemlerini şifreleyebilir.
Fidye yazılımını bir web arayüzü aracılığıyla yapılandırmak için kullanılan bağlı kuruluş paneli, bağlı grubun üyelerine cihazda kendi hesaplarını oluşturma seçeneği verildiği özel bir “üyeler” bölümüne sahiptir.
Ortaklıklara, bilinen savunmasız sürücüleri (BYOVD) kullanarak güvenlik yazılımını sonlandırmak ve atlamak için en azından Haziran 2024’ten itibaren bir “katil” modülü sağlanmıştır. Ancak, o zamandan beri yüksek algılama oranları nedeniyle araç durdurulmuştur.
Esentir ve trend mikro başına, siber saldırılar, fidakhub iştiraklerine bağlı Python tabanlı bir arka kapı dağıtmak için tehlikeye atılmış WordPress siteleri aracılığıyla Socgholish (diğer adıyla FakeUpdates) olarak bilinen bir JavaScript kötü amaçlı yazılımdan yararlanıyor.
Şirket, “25 Kasım’da, grubun operatörleri, bağlı kuruluş panellerinde herhangi bir devlet kurumuna yönelik herhangi bir saldırının kesinlikle yasak olduğunu açıklayan yeni bir not yayınladılar.” Dedi. “Bu nedenle tüm bağlı kuruluşlar, yüksek risk ve kârsız olan ‘yatırımın geri dönüşü’ nedeniyle bu tür eylemlerden kaçınmaya davet edildi.”
Ransomhub altyapısının kesinti süresini de gözlemleyen rehberlik güvenliği, olaylar zincirinin, Ransomhub’ın yeni “Dragonforce fidye kartelinin altyapısına geçmeye karar verdiği” rakip Raas Grubu Dragonforce’un “ortaklık huzursuzluğuna” yol açtığını söyledi.
Blacklock adlı başka bir RAAS aktörünün, Mart 2025’in sonlarında veri sızıntı sitesini tahrif ettikten sonra Dragonforce ile işbirliği yapmaya başladığı değerlendiriliyor.
GuidePoint Secur, “Rampa forumlarındaki bu tartışmalar, Ransomhub iştiraklerinin şu anda göründüğü, grubun statüsünden ve potansiyel bir ‘devralma’ ortasında kendi durumlarından habersiz göründüğü belirsiz ortamı vurgulamaktadır.
Diyerek şöyle devam etti: “Bu istikrarsızlığın Ransomhub için sonun başlangıcını heceleyip heceleyeceği görülüyor, ancak yardım edemeyiz, ancak bağlı kuruluşlar için istikrar ve güvenliği vaat ederek öne çıkan grubun her iki açıdan da başarısız olabileceğini veya ihanete uğramış olabileceğini unutmayın.”
Dragonforce’un yeniden markasını bir “kartel” olarak izleyen SecureWorks Counter Tehdit Birimi (CTU), çabaların bağlı kuruluşların kendi “markalarını” oluşturmasına izin vererek bağlı kuruluşları çekmek ve karları artırmak için tasarlanmış yeni bir iş modelinin bir parçası olduğunu söyledi.
Bu, çekirdek geliştiricilerin karanlık web altyapısını kurdukları ve siber suç yeraltı iştiraklerini kurdukları ve daha sonra fidye ödemesinin% 70’ini karşılığında bir başlangıç erişim komisyoncusu (IAB) hedef ağlara erişim sağladıktan sonra saldırıları yürüdüğü geleneksel bir RAAS şemasından farklıdır.
Sophos’a ait şirket, “Bu modelde, Dragonforce altyapısını ve araçlarını sağlıyor, ancak bağlı kuruluşların fidye yazılımını dağıtmasını gerektirmiyor.” Dedi. “Reklamı yapılan özellikler arasında yönetim ve müşteri panelleri, şifreleme ve fidye müzakere araçları, bir dosya depolama sistemi, TOR tabanlı bir sızıntı sitesi ve .onion alanı ve destek hizmetleri bulunmaktadır.”
Yeni taktikleri kucaklamak için bir başka fidye yazılımı grubu, Şubat 2025’te ortaya çıkan ve çalınan verilerin bir analizini içeren ve olayın düzenleyici veya uygunluk yetkililerini bilgilendirmekle tehdit ederek mağdurlara baskı yapmak için “veri fidye” gasp seçeneği kullanıyor.
Secureworks CTU’daki Tehdit İstihbaratı Direktörü Rafe Pilling, “Fidye yazılımı ekosistemi esnemeye ve uyum sağlamaya devam ettikçe, farklı işletim modelleriyle daha geniş deneyler görüyoruz.” Dedi. “Lockbit, bağlı kuruluş şemasına hakim olmuştu, ancak onlara karşı uygulama eyleminin ardından yeni planların ve yöntemlerin denenmiş ve test edildiğini görmek şaşırtıcı değil.”
Geliştirme, mimik fidye yazılımlarının bir çeşidi olan Elenor-Corp adlı yeni bir fidye yazılımı ailesinin ortaya çıkmasıyla çakışıyor, bu da pano içeriğini çalabilen bir Python yürütülebilir bir şekilde hasat ettikten sonra sağlık kuruluşlarını aktif olarak hedefliyor.
Morphisec araştırmacısı Michael Gorelik, “MIMIC fidye yazılımının Elenor-Corp varyantı, daha önceki sürümlere kıyasla geliştirmeler sergiliyor, sofistike anti-forensik önlemler, süreç kurcalama ve şifreleme stratejileri kullanıyor.” Dedi.
“Bu analiz, sağlık hizmetleri gibi yüksek riskli endüstrilerde proaktif savunma, hızlı olay yanıtı ve sağlam kurtarma stratejileri ihtiyacını vurgulayarak fidye yazılımı saldırılarının gelişen karmaşıklığını vurgulamaktadır.”
Son aylarda gözlemlenen diğer önemli fidye yazılımı kampanyalarından bazıları aşağıdaki gibidir –
- CrazyhunterTayvanlı sağlık, eğitim ve endüstriyel sektörleri hedefleyen ve zammocide adlı açık kaynaklı bir araç aracılığıyla güvenlik önlemlerini atlatmak için byovd tekniklerini kullanan
- ElysiumSabit kodlanmış bir hizmet listesini fesheden, sistem yedeklemelerini devre dışı bırakan, Gölge Kopyalarını siler ve sistem kurtarmayı zorlaştırmak için önyükleme durumu ilkesini değiştiren Hayalet (aka Cring) fidye yazılımı ailesinin yeni bir varyantı
- SİSABD Hükümet Bakanlığı Verimliliği (DOGE) adını kötüye kullanan ve fidye yazılımı sunan kötü amaçlı yazılımları dağıtmak için Hükümet girişimine bağlı bireyler ve kimlik avı saldırılarında kimlik avı saldırıları
- HellcatAtlassian Jira’dakiler gibi sıfır gün güvenlik açıklarından yararlanan ilk erişimi elde etmek için
- Avcılar UluslararasıIsmarlama Veri Sunum Programını kullanarak Dünya Sızıntıları olarak bilinen sadece gasp bir operasyonu yeniden markalaştırdı ve başlattı
- KârLumma ve Berserkstealer gibi Interlock Rat ve Stealters adlı bir arka kapının yanı sıra fidye yazılımı yükünü dağıtan çok aşamalı bir saldırı zinciri başlatmak için rezil ClickFix stratejisini kullanan
- Yapmakbir AITM kimlik avı kitini (MSP) ihlal etmek ve müşterilerine fidye yazılımı saldırıları başlatan (STAC4365 adlı bir iştirakte atfedilen) Screenconnect kimlik doğrulama uyarıları olarak maskelenen bir kimlik avı e -postası kullanmıştır.
Bu kampanyalar, fidye yazılımlarının sürekli gelişen doğasını vurgulamaya ve tehdit aktörlerinin kolluk kesintileri ve sızıntıları karşısında yenilik yapma yeteneğini göstermeye hizmet ediyor.
Gerçekten de, olay müdahalesi ve güvenlik ekipleri (ilk) forumu tarafından 200.000 iç siyah BASTA sohbet mesajının yeni bir analizi, fidye yazılımı grubunun operasyonlarını nasıl yürüttüğünü, ileri sosyal mühendislik tekniklerine odaklandığını ve VPN güvenlik açıklarından yararlandığını ortaya koydu.
“‘NUR’ olarak bilinen bir üye, saldırmayı hedefledikleri kuruluşlar içindeki temel hedefleri belirlemekle görevlendirilir.” Dedi. “Etkili bir kişiyi (yönetici veya İK personeli gibi) bulduktan sonra, telefon görüşmesi yoluyla iletişim başlatırlar.”